Criminelen voeren transacties uit via Google-advertentie met neploginpagina Knab

Een advertentie op Google die verwees naar een vervalste loginpagina van Knab, heeft geresulteerd in zo'n 11.000 euro aan frauduleuze transacties. Vier klanten waren slachtoffer. De bank zegt dat de overboekingen inmiddels geblokkeerd of tegengehouden zijn.

Tussen vorige week vrijdag en afgelopen dinsdag stond er drie keer voor een aantal uur een Google-advertentie online die verwees naar een nagemaakte inlogpagina van Knab. Dat zegt de bank tegen Trouw. Vier klanten trapten in de phishingmethode en logden in, waardoor de criminelen transacties konden uitvoeren.

Knab, een kleine Nederlands bank, spreekt over 'een volledig nieuw fenomeen'. Dat is opvallend, want dergelijke phishing via advertenties en neploginpagina's is niet nieuw. De bank heeft volgens Trouw alle andere Nederlandse banken geïnformeerd en is er toen achtergekomen dat een aantal andere banken deze methode al langere tijd kennen. Er zou weinig over naar buiten gebracht worden om het gebruik van de methode niet uit te lokken.

De vervalste loginpagina had een identieke vormgeving en een webadres dat 'sprekend lijkt'. Ook was er een groen slotje aanwezig in de adresbalk, wat op een beveiligde verbinding duidde. Als klanten probeerden in te loggen, leek dat twee keer te mislukken. De criminelen hadden op dat moment al toegang tot de rekening van de klant en konden bedragen van de spaarrekening naar de betaalrekening verplaatsen.

Als klanten dan nog een derde keer probeerden in te loggen, kregen ze te zien dat ze verificatiestappen moesten doorlopen. Tijdens dat proces moest ook een code ingevoerd worden en dat was in feite een code om een overschrijving te bevestigen. Op die manier zouden de criminelen voor 11.000 euro aan frauduleuze transacties hebben uitgevoerd. Knab zegt dat de klanten hun geld hebben teruggekregen. Ook heeft de bank inmiddels bij Google vastgelegd dat alleen Knab mag adverteren met die merknaam.

IT-banen

Reacties (93)

loewie1984 24 november 2017 11:17

Tja idd, phishing pagina's die via Google Adds als eerste getoond worden in een zoekresultaat is niet nieuw. In combinatie met het gegeven dat we tegenwoordig liever lui dan moe zijn (en dan doel ik op het intypen van de url van je bank, of het bookmarken van de echte website) krijg je dit.

En tot hoever rijkt de plicht van de bank om je te vergoeden bij fraude of diefstal in dit soort gevallen, wat mij betreft is dit echt over de grens. Je hebt gewoon ook een plicht als gebruiker zelf om je er van te verwittigen dat je op de juiste pagina zit. Maar we nemen tegenwoordig alles voor waarheid aan. Nadenken, controleren op het slotje, certificaat laat staan de url zit er niet meer in.

Wat mij betreft eigen schuld dikke bult.

Sharkoon @loewie1984 • 24 november 2017 11:51

Alsof je tegenwoordig het certificaat makkelijk kunt bekijken in bijvoorbeeld google chrome.. niet dus.. en je wordt er als consument ook niet wijzer van als je het certificaat wel kunt bekijken... maar goed

Neem bijvoorbeeld de rabobank, in de adresbalk staat dan: [slotje] Cooperatieve Rabobank U.A.
Misschien ben ik dom en weet ik niet wat U.A. is, maar ik denk dat het meer mensen zijn die dat niet weten. Roept bij mij vraagtekens op en ga je zoeken..

Bij een simpel certificaat van bijvoorbeeld Lets encrypt, dan staat er [slotje] Veilig, bij de rabobank staat er geen Veilig... Alsof veilig iets zegt, nee... maar de woorden Veilig zegt meer dan U.A.

PolarBear @Sharkoon • 24 november 2017 13:02

Roept bij mij vraagtekens op en ga je zoeken..

En dan heb je gevonden dat U.A. uitgesloten aansprakelijkheid betekend in de context en dat ook de rechtspersoon is waarmee je een contract bent aangegaan toen je een rekening ibj de Rabobank hebt geopend.

dus dan snap ik onderstaande niet:

Bij een simpel certificaat van bijvoorbeeld Lets encrypt, dan staat er [slotje] Veilig, bij de rabobank staat er geen Veilig... Alsof veilig iets zegt, nee... maar de woorden Veilig zegt meer dan U.A.

Bij de Rabobank weet je dat het certificaat is uitgegeven aan de rechtspersoon die bij de Rabobank hoort (toegegeven, de handelsnaam en de rechtspersoon hebben een tikje afwijkende naam in dit geval), maar dat biedt toch net wat meer zekerheid dan een domain validated Lets Encrypt certificaat vorozover het gaat over de eigenaar van het certificaat.

We kunnen er wel een heel ding van maken, maar na een keer uitzoeken weet je dat als je de Rabobank opzoekt de browser een melding geeft dat het certificaat is uitgegeven aan de Cooporatieve Rabobank U.A. En dat is een stuk lastiger te spoofen of te vervalsen dan een Lets Encrypt certificaat aan te vragen op Rabobank.nu oid.

Verwijderd1 @PolarBear • 24 november 2017 14:02

We kunnen er wel een heel ding van maken, maar na een keer uitzoeken weet je dat als je de Rabobank opzoekt de browser een melding geeft dat het certificaat is uitgegeven aan de Cooporatieve Rabobank U.A. En dat is een stuk lastiger te spoofen of te vervalsen dan een Lets Encrypt certificaat aan te vragen op Rabobank.nu oid.

Is het ook niet mogelijk voor een malafide entiteit om een net iets aangepast certificaat te nemen? Dat er bijvoorbeeld Cooporatieve Rabobank UA of Cooporatief Rabobank U.A., als je er dan niet heel goed oplet heb je alsnog met een malafide site te maken, toch?

mmjjb @Verwijderd1 • 24 november 2017 14:32

Ten eerste zou je dan een KVK inschrijving moeten hebben met de valse naam met een UA rechtsvorm.
Verder zou je in het telefoonboek online/offline opgenomen moeten zijn met een werkend telefoonnummer dat overeenkomt met je KVK inschrijving.

Daarna gaat de certificaat uitgever van de EV certificaten een controle uitvoeren.
Dus mocht je al door de KvK heen komen met deze nep naam, dan zou in theorie de certificaat uitgever je alsnog moeten weigeren.

Mocht nou de certificaat uitgever slecht controleren (wat vaker is voorgekomen) en je inderdaad door de KvK heen zijn gekomen met deze nep naam, dan heb je inderdaad een certificaat.

Hiermee zou je dan inderdaad een scam op kunnen zetten, ware het niet dat het niet erg verstandig is, aangezien je met naam en adres geregistreerd staat voor de onderneming. Of te wel je zou dan een 'ezel' moeten gebruiken die de onderneming op z'n naam heeft staan.

Al met al, de kans dat je zowel door de KvK als door de certificaat registratie heen komt is erg klein en onwaarschijnlijk.

Verwijderd1 @mmjjb • 24 november 2017 14:37

Bij nader inzien is het dus allemaal gebaseerd op vertrouwen in de (root) CA's, en hoe die controleren. Voor wat betreft het deel van de KvK, dat is voor Nederlandse bedrijven, er zullen vast landen zijn waar een bedrijf registreren soepeler gaat maar dan is er, zoals @PolarBear terecht zegt, de Rabobank (of andere gekopieerde partij) die zelf daartegen op kan treden (door bezwaar aan te tekenen bij de CA denk ik?).

PolarBear @Verwijderd1 • 24 november 2017 14:08

Dat zou niet moeten kunnen, de certificate authorities checken de KvK. En je inschrijven met dezelfde handelsnaam kan (de KvK checkt daar op z'n best matig op) maar dat zal de 'echte' Rabo wel meteen aanpassen. Zie https://nl.wikipedia.org/...valideerd_SSL-certificaat

vali @Sharkoon • 24 november 2017 13:34

Lets encrypt zegt ook helemaal niks. Sinds 2003 kan je unicode gebruiken om domeinnamen aan te vragen. Dit betekend dat het vaak moeilijk te zien is of je wel op de officiele site zit.

Resultaat is het volgende:
'Phishingcampagne gericht op MyEtherWallet heeft 13.000 euro opgeleverd.

Het gebeurd (merkte ik zelf) ook volop bij andere website. Ik sla daarom al mijn websites op in mijn keeppass en open ze alleen daar uit.

Het volgende wat @PolarBear meldt neemt de bovenstaande zorgen weg

Bij de Rabobank weet je dat het certificaat is uitgegeven aan de rechtspersoon die bij de Rabobank hoort (toegegeven, de handelsnaam en de rechtspersoon hebben een tikje afwijkende naam in dit geval), maar dat biedt toch net wat meer zekerheid dan een domain validated Lets Encrypt certificaat vorozover het gaat over de eigenaar van het certificaat.

[Reactie gewijzigd door vali op 22 juli 2024 17:50]

mashell @Sharkoon • 24 november 2017 13:52

En we hebben de bevolking nog zo geleerd: nooit inloggen bij iets dat op ua eindigt. Dta is Oekranie en daar stikt het van de "Russische" hackers!

Iblies @loewie1984 • 24 november 2017 11:49

Er zijn in casu toch echt meerdere partijen.

Ten eerste de gebruiker, die valt iets te verwijten, absoluut. Dit in combinatie met het materiaal dat hij heeft gebruikt.
Naar ik weet geven de meeste up-to-date browsers meldingen als je op een twijfelachtige site komt. Daar valt ook informatie te halen.

De volgende partij is toch echt Google. Het is naïef om te denken dat Google oprecht oprecht is. Resultaten de ze weergeven worden beïnvloed. Er is een partij die het voor mekaar heeft gekregen om bij Google dusdanig hoog ik de ranking te komen dat er een flink aantal mensen omleid en misleid zijn.

Knab valt ook iets kwalijk te nemen dat ze misschien niet assertief genoeg zijn om dit te zien aan te komen,
alleen moeten we wel realistisch blijven.

Google is een dusdanig megalomaan platform dat dit soort ongein commercieel exploiteert, dat de vraag welke maatregelen Google neemt veel belangrijker is. Nu heeft met Google ‘afgesproken’ dat Knab met de bank te maken heeft,
maar op het moment dat ze daar geld voor hebben betaald dan hoor ik dat graag.

Het zou namelijk niet meer dan administratieve kosten mogen zijn, en dat kan nooit veel zijn om enkele steekwoorden te koppelen aan de bank.

Elke andere constructie hoor ik heel graag,
want dan komt die vraag weer om de hoek kijken, is Google daadwerkelijk oprecht.

djwice

@Iblies • 24 november 2017 12:02

Wat je dus eigenlijk wil is dat alle sites worden gescand, en als ze visueel lijken op die van bank X, en ook qua naamgeving, dat deze site dan niet gelinkt wordt.

Het lastige is natuurlijk dat sommige banken diverse dochters hebben of land specifieke sites, campagne sites etc., dus dan moet de ondertekenaar van het certificaat ook bekeken worden.

Andere kant is, hoe gaat het nu voor veel mensen:
Je typt in knab in je browser en druk op enter.
In veel gevallen krijg je dan direct knab.nl voor je snufferd (auto complete), welke https://www.knab.nl/ laad.

Als je dat gewent bent, en je zit net op een ander device/andere browser die dat nog FF niet doet, dan kom je op Google en klik je blind de eerste link. Ben je normaal gewent dat ublock de advertenties verbergt in Google, blijkt het net op dat ene device ook niet te werken, en land je zonder dat je het merkt op een andere site.

En laat die site nu een naam hebben die op knab.nl lijkt en verder 100% dezelfde HTML/CSS/FONTS en plaatjes gebruiken als Knab, en een mooi groen certificaat met naam, het kan niet beter..

Een gelukje, de autocomplete werkt niet ... (WHAT! Wie gebruikt er autocomplete voor het onthouden van de login naam?!!! - grrr...)

Nadeel van zo'n automatisch scan die detecteerde of een website fake is, .... Maar nu ik er over na heb ik wel wat punten waarmee ik de echtheid toch kan detecteren

Hmm... nu maar hopen dat Google het zelfde idee heeft :-)

En laten we eerlijk zijn, het is ook in het belang van Google dat ze mensen naar de site brengt die ze verwachten, vertrouwen behouden is belangrijk voor Google.

[Reactie gewijzigd door djwice op 22 juli 2024 17:50]

Iblies @djwice • 24 november 2017 12:34

De rol van oa Google is in de loop der jaren veranderd.

Was het in de begindagen een bijna anarchistisch internet met bijna geen directie,
vandaag de dag spelen meerdere factoren een rol,
•discretie in de vorm van hoor en wederhoor voordat alles op internet wordt gezet
•privacy omdat niet alles gemeenschappelijk is
•maar belangrijkste, vermogen. Dus niet geld, dat is een ruilmiddel, maar vermogen.

Daar waar in het verleden Google kon wegschuilen achter zijn webcrawler, code die ze blijkbaar zelf niet helemaal begrijpen, maar kwalijker, zelf niet helemaal onder controle hebben, daar mag je vandaag niet mee wegkomen.

En ja dat betekent dat ze meer aandacht zullen moeten besteden aan datgene wat achter de link zit. En dat gaat ze inderdaad geld kosten, maar ze verdienen er zelf ook aan.

djwice

@Iblies • 24 november 2017 13:09

Het wordt een beetje off topic nu denk ik, maar Google is al jaren bezig met begrijpen wat er achter de link zit. Neem bijvoorbeeld de website http://www.mijnnaamdag.nl te vinden via https://www.google.nl/search?q=naamdag en je ziet dat google direct in het zoekresultaten al de meest belangrijke onderdelen van die site geeft als linkje "‎Zoeken op naam" , " ‎Wat is een naamdag / waar .." en voor de meest gevonden naam zelfs een directe link "Maria", "‎Johannes".

Daarnaast hebben ze initiatieven als http://schema.org/docs/about.html (samen met Microsoft, Yahoo en Yandex) om beter te begrijpen wat er achter elke link zit.

En vind je vaak aan de linker kant bij Google een samenvatting met foto, zoals ook in de zoeklink hierboven, informatie over het onderwerp dat je zoekt, gehaald uit diverse websites.

Vanuit mijn perspectief is hun core techniek dus altijd al gefocust op aandacht voor dat gene dat achter de link zit. En vergelijken of je niet onder 20 domeinnamen dezelfde site host doen ze ook al een jaar of 15. Dus meer aandacht, ach, wellicht een shift in techniek, maar dat vindt een tech bedrijf echt wel leuk.

Denk aan bijvoorbeeld het gebruik van https://github.com/Huddle/PhantomCSS maar herschreven en op basis van https://github.com/graphcool/chromeless of https://electronjs.org/ in plaats van http://phantomjs.org/, want PhantomCSS is natuurlijk ook al weer 5 jaar oud.

[Reactie gewijzigd door djwice op 22 juli 2024 17:50]

peidur @Iblies • 24 november 2017 11:57

... Er is een partij die het voor mekaar heeft gekregen om bij Google dusdanig hoog ik de ranking te komen dat er een flink aantal mensen omleid en misleid zijn.

In principe kun je bij Adwords vrijelijk zoekwoorden targetten. Vooral als er veel geld valt te verdienen kun je hoog bieden. Maar ook als er weinig concurrentie is, is het gemakkelijk om een hoge ranking te verkrijgen.
Als je dus biedt op "knab login" zal je weinig concurrentie hebben en dus snel bovenin komen, ook omdat de pagina erg relevant is op deze zoekopdracht. Het logaritme van Google koppelt deze zoekopdracht en pagina graag met elkaar

jochem4207 @Iblies • 24 november 2017 12:04

> Naar ik weet geven de meeste up-to-date browsers meldingen als je op een twijfelachtige site komt. Daar valt ook informatie te halen.

Wordt ook vermeld in het artikel dat de pagina SSL had. Dat is voor veel gebruikers genoeg. Zoals een andere tweaker al meld in chrome is het bekijken van je certificaat ook niet optimaal + wat moet een gewone gebruiker er mee.

Ik vind wel dat de gebruiker ook verantwoordelijk is maar niet om deze reden

FreshMaker @loewie1984 • 24 november 2017 12:42

Dit zijn waarschijnlijk die gebruikers die altijd hun pagina in de google-zoekbalk zetten, ipv de adresbalk van de browser

Vorige week nog over gehad, en toen vond het merendeel het 'gewoon' makkelijk, zelfs hier aanwezigen.

Zalustra @FreshMaker • 26 november 2017 02:24

Sommigen weten het verschil ook niet tussen zoekbalk en adres balk. Erg vervelend als je bij support iemand naar het goede adres wilt sturen.

Stoelpoot @loewie1984 • 24 november 2017 12:33

Wat mij betreft ligt de schuld bij de advertentiebureaus. Immers kiest een advertentiebureau ervoor dit te serveren aan een klant, blijkbaar zonder verificatie dat er met de advertentie geen frauduleuze handelingen worden uitgevoerd. Terwijl dit voor een bedrijf als Google gemakkelijk te verifiëren is.

Dat klinkt raar, maar ik zit hier al langer mee. Je hoort ook vaak dat advertenties malware serveren. Dat is een duidelijk voorbeeld van de missende controle van (o.a.) Google waar consumenten dan de dupe van worden.

Het beleid dat phishing door advertenties op de adverteerder kan worden verhaald, als de adverteerder niet kan aantonen de adverteerder te hebben geverifieerd, zou in mijn ogen een goede zaak zijn en de verantwoordelijkheid van gevaarlijke ads bij de ad-boeren neerleggen die dat faciliteren door een open, vogelvrij beleid te voeren.

kodak

Phishing
Fraude
Economie en maatschappij

@Stoelpoot • 24 november 2017 14:45

En waarom zou een advertentieprovider de schuld hebben als die in opdracht van een website eigenaar of app eigenaar advertenties als content kan plaatsen? Waarom is die website of app eigenaar die er geld aan verdient en de ruimte voor die advertenties geeft dan niet de hoofdschuldige of even schuldig?

De hoofdschuldige is de persoon die als crimineel de foute advertenties laat zetten. Alle tussenbedrijven, van advertentiebureau tot advertentieprovider tot advertentieruimteverkoper en advertentieontvanger hebben mede een verantwoordelijkheid om dit te voorkomen. Niet slechts een schakeltje in dit geheel, want dat zou betekenen dat iedereen er voordeel uit mag halen maar slechts een daar een verantwoording in draagt.

Stel advertentieproviders krijgen de volledige schuld omdat een paar criminelen hun dienst misbruiken voor het serveren van foute content. Dan zeg je als samenleving dus dat de vrijheid van communiceren beperkt moet worden en miljarden aan legitieme omzet minder belangrijk zijn dan de controle of een advertentie legitiem is. En dat voor een fractie aan foute advertenties waar schade door ontstaat tussen de miljoenen legitieme advertenties.

Stoelpoot @kodak • 24 november 2017 15:03

Daarom zeg ik ook specifiek "als de adverteerder niet kan aantonen de adverteerder te hebben geverifieerd". Zodra iemand een advertentie wil plaatsen, moet je dus als advertentieboer hard kunnen maken dat jij hebt gecontroleerd dat die advertentie niet naar foute inhoud, zoals een phishing-site of een virus, wijst. Dan zijn de criminelen het bedrijf echt te slim af geweest.

Heel vaak is dit grotendeels de verantwoordelijkheid van advertentieboeren dat dit heeft kunnen gebeuren. Natuurlijk is de hoofdschuldige de oplichter. Maar zeker grote partijen als Google serveren zo immens veel ads, dat ze het veel te makkelijk maken om daar problemen mee te veroorzaken. Hier horen ze hun verantwoordelijkheid in te nemen om er voor te zorgen dat de advertenties niet vals zijn.

kodak

Phishing
Fraude
Economie en maatschappij

@Stoelpoot • 25 november 2017 15:34

Dan geldt nog dat zonder regels over wanneer iets goed of fout is de advertentieproviders alleen hun eigen interpretatie kunnen geven. Dus zelfs als ze het verifieren (je weet immers niet of ze dat nu niet doen) kunnen foute advertenties legitiem lijken. Bijvoorbeeld doordat de content op het moment van verifieren niet fout leek of omdat een ander meent dat de content verkeerd is. Hoe denk je dat het komt dat veel virussen ook niet tijdig onderschept kunnen worden? Omdat alle moderne technieken nog niet voldoende zijn.

Anoniem: 636203 @loewie1984 • 24 november 2017 12:45

Hoe kan het dat een frauduleuze website bovenaan de zoekresultaten beland? Google heeft wat uit te leggen wat mij betreft.

Vexxon @loewie1984 • 24 november 2017 13:31

Ja, want wie is er nou zo gek om de advertenties die Google toont te vertrouwen. Dan moet je wel gek zijn.

Willem_54 @loewie1984 • 24 november 2017 20:25

Deze reactie vind ik erg kort door de bocht. Bijna alle banken in NL voeren een proactief securitybeleid en dat is juist een van de redenen dat het bij KNAB fout ging.
Als klant kun je een teansactie makkelijk testen door een fout rekeningnummer en foute code in te voeren. De response moet dan leiden tot een corrigerende dialoog, daar houden criminelen vaak geen rekening.
Als de bank een identifier of calculator gebruikt heb je meer zekerheid. Een bank die alleen een wachtwoord gebruikt voor het inloggen bij overboekingen is sowieso al onveilig. Dit kan een bewuste keuze zijn van de bank i.v.m. de kosten. In deze gevallen dient de bank de schade te altijd te vergoeden.
Een groen slotje duid op een Https connectie, dat is misschien iets veiliger, maar deze zogenaamd veilige methode is al meerdere keren gekraakt.

xDiglett @loewie1984 • 24 november 2017 11:48

*Ads

YangWenli @loewie1984 • 24 november 2017 19:49

Het is makkelijker om de mensen die hierin trappen af te kopen dan met ze te gaan discussiëren. Ze gaan het toch nooit leren en levert voor de bank ook nog slechte publiciteit op.

Chuk 24 november 2017 11:15

Phishing over ads, is toch al zo oud als ads zelf? Snap niet dat anno 2017 dit nog veel success heeft...

Rinux55 @Chuk • 24 november 2017 11:22

Ik zou zelf niet zo snel in dit soort dingen trappen. Ik check altijd de url, of er een certificaat is en hoe de site eruit ziet. Maar blijkbaar hebben deze criminelen dat allemaal goed weten na te maken. Je kan in een url heel veel verschillende tekens gebruiken, dus ook tekens die heel erg lijken op een van de letters uit het normale alfabet.

Neem bijvoorbeeld de volgende string: Knab.nl. Lijkt heel veel op knab.nl, alleen gebruik ik hier het teken voor Kelvin, geen K. zie ook: https://en.wikipedia.org/wiki/Letterlike_Symbols

Ik kan me voorstellen dat ik hier nog in zou trappen!

[Reactie gewijzigd door Rinux55 op 22 juli 2024 17:50]

Zoop @Rinux55 • 24 november 2017 12:19

Alleen mag je (zo ver ik weet) dat soort speciale characters niet gebruiken als domeinnaam, dus dit is toch het gene wat het meeste op zou moeten vallen. Meestal zijn het URLS waar een typo in lijkt te staan, zoals rabbank.nl of iets dergelijks, maar als je een beetje oplet moet dit altijd te spotten zijn.
Bovendien is het domeinnam zelf case-insensitive, en zal de browser automatisch lowercase tonen, als er dan alsnog hoofdletters in het domein staat is er zeker weten iets vaags aan de hand (maar zoals ik al zei, volgens mij kan dat ook niet eens).

[Reactie gewijzigd door Zoop op 22 juli 2024 17:50]

MaffeMaarten @Zoop • 24 november 2017 14:18

Veel browsers trappen nog wel in die speciale tekens. Voorbeeldje (met goeie uitleg achter de link: )
[url="https://www.аррӏе.com/"]https://www.аррӏе.com/[/url]

[Reactie gewijzigd door MaffeMaarten op 22 juli 2024 17:50]

Zoop @MaffeMaarten • 24 november 2017 14:28

De url toont bij bij als https://www.xn--80ak6aa92e.com/, alvorens ik hem al open (de tekststring in de link zelf zegt wel apple.com). Dus het lijkt mij dat het ook sterk aan de browser (of mailclient waar het in getoond word, etc) ligt hoe hij dit soort zaken implementeert. Mocht je wel gewoon apple.com zien staan, dan zou ik zeker aanraden eens te kijken of je niet een paar updates kan runnen (schijnbaar is dit al grotendeels opgelost met updates van begin dit jaar).

Deze link ziet er in ieder geval bij mij als een zooitje uit, en zou al snel vraagtekens zetten.
Maar zeker wel interessant, bedankt voor het delen.

[Reactie gewijzigd door Zoop op 22 juli 2024 17:50]

Rinux55 @Zoop • 24 november 2017 13:10

Ik weet ook niet precies hoe het zit. De specifieke situatie die ik heb geschetst heb ik even nageken, en dat kan inderdaad niet. Maar het is mogelijk om een domeinnaam met niet westerse tekens te registreren:

https://en.wikipedia.org/wiki/Internationalized_domain_name

"The use of Unicode in domain names makes it potentially easier to spoof web sites as the visual representation of an IDN string in a web browser may make a spoof site appear indistinguishable to the legitimate site being spoofed, depending on the font used. For example, Unicode character U+0430, Cyrillic small letter a, can look identical to Unicode character U+0061, Latin small letter a, used in English. As a concrete example, using Cyrillic letters а, е (“Ie”/“Ye”, U+0435, looking essentially identical to Latin letter e), Belarusian-Ukrainian і (U+0456, essentially identical to Latin letter i), р (“Er”, U+0440, essentially identical to Latin letter p), the URL wіkіреdіа.org is formed (xn--wkd-8cdx9d7hbd.org in encoded form), which is virtually indistinguishable from the visual representation of the legitimate wikipedia.org (possibly depending on fonts)."

[Reactie gewijzigd door Rinux55 op 22 juli 2024 17:50]

Rinux55 @Zoop • 24 november 2017 13:18

Maargoed, dat kan dus. Dat is in deze situatie waarschijnlijk niet gebruikt. Knab gebruikt het volgende voorbeeld om phishing aan te duiden:
https://www.knab.nl/~/med...0advertentie%20google.jpg

Hier is de url persoonlijkknab.com, tsja, dan ben je ook gewoon een pannekoek als je dat over het hoofd ziet.

Willem_54 @Rinux55 • 24 november 2017 20:30

Ook een goede manier is om je bank Url in een wachtwoordmanager te registreren en daarmee de banksite te openen. Dan heb je minder kans dat je bij een nep site terecht komt.
Als je iets niet vertrouwd neem dan altijd telefonisch contact op met je bank.

Pathogen @Chuk • 24 november 2017 11:24

Tsja, Knab is zelf natuurlijk relatief nieuw. Naïef of nalatig, ik weet niet welk van de twee het is, maar deze "snelle-jongens-organisatie" heeft nog op geen enkel punt me daadwerkelijk weten te overtuigen dat ze veilig met mijn geld om kunnen gaan.

sambalbaj @Pathogen • 24 november 2017 11:32

Knab is onderdeel van Aegon Bank N.V. dus dat 'kleine nieuwe jongens' verhaal mag ook de prullenbak in, enkel de merknaam is relatief nieuw. Met de woekerpolissen wisten die destijds ook wel raad, maar nu hebben ze gewoon hun zaken niet voor elkaar.

[Reactie gewijzigd door sambalbaj op 22 juli 2024 17:50]

Ves @sambalbaj • 24 november 2017 11:38

offtopic:
Hoewel Knab onderdeel is van Aegon bepaalt Aegon niets.
Via Aegon konden zij de bank starten zonder te verdrinken in alle regels bij het opzetten.

De twee staan compleet los van elkaar.

PolarBear @Ves • 24 november 2017 13:06

KNAB is niets meer of minder dan een label van de Aegon bank.

Zie bij de Nederlandse bank hier: https://www.dnb.nl/toezic...35848e311b55a005056b672cf

KNAB is dus geeneens een zelfstandig rechtspersoon. Zie ook jaarverslag van de AEGON bank:

Aegon Bank N.V. is achieving its vision and ambition through two business units: Aegon Bank
and Knab.

[Reactie gewijzigd door PolarBear op 22 juli 2024 17:50]

Harry2014 @sambalbaj • 24 november 2017 23:45

Iets nuanceren lijkt mij wel raadzaam. Aegon heeft inderdaad het geld beschikbaar gesteld om KNAB te beginnen. Het idee was afkomstig van twee van de oprichters die afkomstig zijn van wat indertijd Alex Beleggersbank was.

KNAB zelf was in het begin gewoon vormgegeven als een startup (of te wel een FINTECH) en heeft het platform van de grond opgebouwd en een klantenbestand opgebouwd. Het blijft een kleine, maar wel interessante, tak van sport voor Aegon en door hun omvang hebben ze niet de resources (maar dus ook niet de kosten) van de grootbanken.

Link met woekerpolissen zie ik niet :-)

Neko Koneko @Pathogen • 24 november 2017 11:34

Het fishing zelf kun je ze volgens mij niet aanrekenen, het zijn de klanten die erin getuind zijn. Hun reactie vind ik wel behoorlijk naïef want dit is natuurlijk een van de oudste fishing methodes die er zijn.

Willem_54 @Pathogen • 24 november 2017 20:34

Helemaal eens, zij hebben geen idee wat een bank moet doen om de Security proactief in te regelen. Ik denk dat ze zowel naief zijn als nalatig. Een inlogprocedure op basis van een gebruikersnaam + wachtwoord is natuurlijk vragen om fraude. Minimaal een tweefactor met SMS code is tegenwoordig wel het absolute minimum

YangWenli @Pathogen • 24 november 2017 19:56

Ze vallen naar ik aanneem onder het Nederlandse deposito garantie regeling dus tot 100000 zit je goed.

bbc @Chuk • 24 november 2017 11:28

Het was deze ochtend nog op de radio en is blijkbaar een fenomeen wat vooral rond Black Friday de kop opsteekt. Grote kortingen wekken minder argwaan op, alhoewel dat hier in Europa toch nog wel zou moeten.

kazz1980 @Chuk • 24 november 2017 11:51

Vergeet niet dat banken inmiddels nagenoeg iedereen dwingen tot digitalisering. Ook de mensen die dit in feite echt niet snappen... Die vinden het al een hele prestatie dat ze het openen van een website en het werken met zo'n identifier apparaatje onder de knie hebben... Laat staan dat ze dan ook nog eens moeten gaan letten op andere zaken zoals fhishing.

Dit soort tactieken zullen, zo lang het technisch mogelijk is, blijven bestaan en zullen voorlopig succesvol blijven. Het is schieten met hagel. 99% van de mensen ziet direct dat er iets loos is - maar van die ene overgebleven procent is potentieel nog een boel geld te jatten...

MrManuel

24 november 2017 11:34

Zou iemand die bij de knab bank zit kunnen uitleggen hoe de authenticatie gaat van een transactie?

Puc van S. @MrManuel • 24 november 2017 11:39

Je hebt (alla de oude rabobank) een random reader waar je je pas in stopt en icm pincode een (ik meen 6) cijferige code uitkrijgt.

Je krijgt dus niet zoals bij de nieuwe rabo scanner een overzicht te zien wat er precies overgemaakt word.

https://www.marketingonli...ic/Betalen_Cardreader.png

[Reactie gewijzigd door Puc van S. op 22 juli 2024 17:50]

faim @Puc van S. • 24 november 2017 12:30

Tegenwoordig kan je i.c.m. de Knab-app een QR-code scannen i.p.v. de random reader te gebruiken.

DJMaze @MrManuel • 24 november 2017 13:37

1. Je logt in met je naam + wachtwoord (geen reader)
2. Daarom geeft de reader bij een betaling aan: "Overboeking?"

Ik vind het eigenlijk wel een beetje terecht dat mensen dan bestolen zijn.
Als je je auto niet op slot doet en er de volgende morgen achter komt dat er een zwerver de nacht heeft doorgebracht (true story van iemand die ik ken) krijg je ook geen vergoeding van de verzekering.

MrManuel

@DJMaze • 24 november 2017 14:37

Dat je er intrapt is natuurlijk geen vrijbrief voor de criminelen.
En jou voorbeeld is logisch dat je geen vergoeding krijgt van de verzekering want dat is afgedekt in de polis.
Maar het is nog steeds niet toegestaan om de auto te betreden voor de zwerver.

Maar indien je inderdaad Overboeking? krijgt zouden er bellen moeten gaan rinkelen.

Munters 24 november 2017 13:44

Dus je zoekt de site van je eigen bank op via google, klikt vervolgens op een advertentielink en gaat bankzaken doen?

royzegthoi @Munters • 24 november 2017 15:02

Als ik zoek naar knab in Google dan staat langs de bovenste link adv, voor mij duidelijk dat dit een advertentie is maar voor sommige zal dit niet zo vanzelfsprekend zijn, andere zullen het over het hoofd zien, aangezien het er vrijwel hetzelfde uitziet als een normaal zoekresultaat

Normaal gesproken linkt die advertentie naar de officiële Knab website, maar er zijn dus momenten geweest dat het linkte naar een phishing website die er sprekend op leek...

Waarom vind je het zo gek dat mensen hier in trappen?

Quick add: wij hier op Tweakers.net zijn best op de hoogte van eventuele gevaren van ads en dergelijke, maar alleen al in mijn omgeving zijn er genoeg mensen die zich niet bewust zijn/verdiepen in zulke dingen...

[Reactie gewijzigd door royzegthoi op 22 juli 2024 17:50]

DarkUnreal @royzegthoi • 24 november 2017 15:45

Ik installeer bij alle kennissen Ghostry en uBlock. Met name Ghostry zorgt ervoor dat een boel trackers, en alle advertisments in google niet geladen worden.

Erg spijtig voor Google, ze missen zo inkomsten, maar zo blijft de computer van de kennissen iig een stuk langer virus vrij. Zo kunnen ze iig niet op de verkeerde links klikken.

Het voelt bijna als een standaard stuk software dat je moet installeren, om relatief 'veilig' te surfen.

Willem_54 @royzegthoi • 24 november 2017 20:42

Het is inderdaad niet verwonderlijk dat mensen met minder kennis van IT er in trappen. De criminelen hebben er veel tijd ingestoken om én een zwakke bank met een zwakke inlogprocedure én zich te richten op bankklanten met geringe cybersecurity kennis.
Knab moet de procedures beter beveiligen in de inlogdialogen.

puntje013 @Munters • 24 november 2017 15:06

Het probleem met ouderen is dat ze Google als het hele internet zien zoals sommigen denken dat Facebook het hele internet is.
Ik zie mijn moeder ook geregeld hele urls intypen in de Google zoekbalk.
Genoeg mensen die dus ook bv knab invullen en blindelings de eerste link aanklikken.
Hoevaak ik het ook probeer uit te leggen, het standaard antwoord is, zo ben ik het gewend en is het makkelijk.

AlexKnight1978 @puntje013 • 24 november 2017 15:47

Dat zie ik ook regelmatig bij klanten van de oudere generatie, daar moet je echt op hameren dat ze iets in de adresbalk intypen, en niet in Google. Soms krijg je dan de opmerking, "wat is dat?... daar heb ik nog nooit van gehoord".

SinergyX 24 november 2017 11:19

Sorry dat ik het zeg, maar klinkt beetje amateuristisch van zo'n bank. Eerst zeggen dat het een compleet nieuw 'fenomeen' is, het phising van bank-logins is al jaren oud (ook via advertenties), en dan ook je naam niet goed geregeld te hebben met Google.

Maar hoe werkt die autorisatie bij KNAB? Bij Rabo moet je bv bij een overschrijving via die scanner op de scanner zelf ook bevestigen 'wat' je doet, dat geval dus ~2,5k overschrijven naar onbekende rekening.

procyon @SinergyX • 24 november 2017 11:29

Via adds komt wel vaker rotzooi binnen op computers van gebruikers. (laatst nog een CPU miner)

Ik blijf het roepen, bevrijd jezelf van die ellende en installeer Pi-Hole (sorry tweakers.net).

En denk niet dat je daar een RB PI voor nodig hebt, je kan het ook draaien op je Synology NAS. Doe ik zelf ook en ik zie nergens meer reclame op mijn hele netwerk (dus ook telefoons en tablets).. Geweldig!
https://pi-hole.net/
En hoe je het op je (niet intel CPU) NAS installeerd:
https://discourse.pi-hole...ole-on-a-synology-nas/289

Maak je buiten met je telefoon een VPN verbinding met je eigen netwerk (veel routers ondersteunen dat) heb je ook onderweg totaal geen reclame meer.

ThinkCreative @procyon • 24 november 2017 11:38

Je tweede link is niet goed verwerkt:
https://discourse.pi-hole...ole-on-a-synology-nas/289

kazz1980 @SinergyX • 24 november 2017 11:47

Bij de meeste banken voer je enkel een code in op het apparaatje en geeft deze een code terug. Zal bij Knab ook wel zo zijn. Dat is via deze weg prima te misbruiken als iemand in dergelijke fishing trapt.
Als consument heb je dan ook niet echt op zitten letten... Maar ja - als je al niet zo thuis bent in een digitale wereld snap ik prima dat mensen hier de mist mee ingaan.
Dat Knab het als 'nieuw' bestempelt schept inderdaad weinig vertrouwen... Van een bank verwacht je toch dat ze wel bekend zijn met dit soort vormen van fraude - want er is weinig nieuws aan.

bussie66 24 november 2017 12:04

De criminelen hadden op dat moment al toegang tot de rekening van de klant en konden bedragen van de spaarrekening naar de betaalrekening verplaatsen.

Hoe kan dat?

Mag toch hopen dat KNAB een 2 staps authenticatie / verificatie (bijvoorbeeld SMS) hanteert ook bij het overboeken van de spaar naar de betaalrekening? Dit is bij de ING wel zo.

Dan had dit toch niet kunnen gebeuren?

Hoe halen mensen het in hun hoofd om via een advertentie in te loggen op je bank?

Dan moet je m.i. toch eerst even een cursus internetten krijgen cq heb je gewoon niks te zoeken op internet.

mschol @bussie66 • 24 november 2017 12:58

men ziet niet dat het een advertentie is, en daar mag je google en consorten voor bedanken: die willen dat het zoveel mogelijk oplevert, dus die "verbergen" ads in de style van de zoekresultaten met alleen een klein "ad" logootje erbij

jvdmeer @bussie66 • 24 november 2017 13:13

Bij de KNAB is een overschrijving van spaarrekening naar betaalrekening zonder extra authenticatie. Pas bij het overmaken van geld van de betaalrekening naar een andere betaalrekening wordt er middels een randomreader een extra code gevraagd.

Maar ik heb zo'n vermoeden dat als er een extra stap nodig was bij de eerste stap naar betaalrekening, dat de slachtoffers daar ook wel in getrapt waren. Wat dat betreft kan je zoveel stappen toevoegen als je wil, mensen trappen er toch wel in.

Willem_54 @bussie66 • 24 november 2017 20:49

Banken moeten betere voorlichting geven en het gebruik van een wachtwoordmanager stimuleren. Ook google moet beter opletten, zij kunnen dit soort pogingen vaak tegenhouden, zeker bij banken en financiële transacties.

Anoniem: 160587 24 november 2017 11:20

Ik heb geen ervaring met de knab bank maar bij ING bijv. staat bij een transactie code duidelijk in het bericht "transactie code voor overschrijven bedrag X". Dit zou toch ook al een lichtje moeten doen branden bij de persoon die die uitvoerde?

Maar sowieso, bank sites / de site die je wil bezoeken eerst googlen....tjah.

Ome Kor

@Anoniem: 160587 • 24 november 2017 11:55

Inderdaad, altijd zelf naar de site van de bank gaan, niet via Google.

Maar in dit geval, als je via de bad guys (MITM) inlogt, dan kunnen ze de schermen dusdanig manipuleren dat er niet komt te staan dat je x-bedrag overmaakt. Zelfs niet bij de ING denk ik.

Chrotenise @Ome Kor • 24 november 2017 12:30

Bij ING staat het in de verificatieSMS / app.

Anoniem: 160587 @Ome Kor • 24 november 2017 12:49

Dat is me punt, het staat in me SMS / Bericht. Kunnen ze wel me schermen manipuleren maar de code moet door de bank verstuurd worden. Als ze zelf codes gaan versturen dan werkt dat uiteraard niet.

HansvDr 24 november 2017 13:39

En daarom advertenties en analytics blokkeren. Op alle websites. De site wordt fijner om te bekijken. De advertentieboeren controleren de advertenties ook nog eens niet of niet goed genoeg.

Tja, dan moeten we het zelf maar doen.

peidur @HansvDr • 24 november 2017 13:48

Advertenties die worden vertoond via zoekmachines zijn bedoeld om relevant te zijn ten opzichte van de vraag. Dit in tegenstelling tot banners en dergelijke waar een aanname wordt gedaan dat jij een product nodig hebt en dit jou proberen te slijten.
Om die vormen van adverteren over één kam te scheren is wat kort door de bocht.

HansvDr @peidur • 24 november 2017 13:52

Het is van dezelfde aanbieder die mij op websites irriteert met veel te vaak dezelfde banners en dus in de zoekresultaten advertenties voor nep-sites doorlaat. Dan is alles blokkeren niet kort door de bocht maar gewoon precies wat noodzakelijk is.

mashell @peidur • 24 november 2017 14:00

De meeste advertienties dienen niet om je aan te sporen wat te kopen, die vind je namelijk meteen opdringering en irritant. De meeste dienen om je over een product te informeren. Zodat je later dat product kent en overweegt.

Anoniem: 58485 24 november 2017 11:14

Knap. Normaal wordt iedere advertentie die je in adsense plaatst, handmatig geverifieerd.

jasbroek @Anoniem: 58485 • 24 november 2017 11:28

Helaas niet, de advertenties die je plaatst in AdWords worden grotendeels automatisch gekeurd.
Sommige worden handmatig nagekeken (random of als de automatische keuring niet zeker is).

xoniq @Anoniem: 58485 • 24 november 2017 11:18

Knab

Segafreak83 24 november 2017 12:21

Ik snap heel goed dat mensen op advertenties klikken. Die krengen zijn soms bijna niet van een "echte" advertentie of knop te onderscheiden.

Buiten dat doe ik veel bankzaken via mijn (ge-update) mobiel én betaal áltijd via mijn eigen app ipv de website (tegenwoordig vragen ze ook automatisch bij een iDeal betaling of je het via de app wil doen, kei handig

)

Daardoor loop je volgens mij veel minder risico.

Ps. Natuurlijk is alles te fabriceren en te hacken.

FreshMaker @Segafreak83 • 24 november 2017 13:03

Ik snap heel goed dat mensen op advertenties klikken. Die krengen zijn soms bijna niet van een "echte" advertentie of knop te onderscheiden.

Buiten dat doe ik veel bankzaken via mijn (ge-update) mobiel én betaal áltijd via mijn eigen app ipv de website (tegenwoordig vragen ze ook automatisch bij een iDeal betaling of je het via de app wil doen, kei handig )

Daardoor loop je volgens mij veel minder risico.

Ps. Natuurlijk is alles te fabriceren en te hacken.

Nee, ik snap dat echt niet ...

Je gebruikt geen 50 bank-pagina's lijkt me
Zet die dingen in je favorieten, en alle browsers vullen dan prima aan.

Waar het hier fout gaat, zijn die luie gebruikers die ALLES in de google-balk zetten, ipv de adresbalk waar het hoort
Ik zie hier collega's zelfs google.com in die balk van Google tikken

Op dit item kan niet meer gereageerd worden.

Criminelen voeren transacties uit via Google-advertentie met neploginpagina Knab

Lees meer

IT-banen

Reacties (93)

Sorteer op:

Weergave: